SSH가 올바르게 기록되지 않았습니다.

SSH가 올바르게 기록되지 않았습니다.

저는 데비안 웹 서버를 보고 있는데 /var/log/auth.log, 마지막으로 기록된 내용은 다음과 같습니다:

Jul  2 21:09:01 h311 /USR/SBIN/CRON[25912]: (root) CMD (  [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -depth -mindepth 1 -maxdepth 1 -type f -ignore_readdir_race -cmin +$(/usr/lib/php5/maxlifetime) ! -execdir fuser -s {} 2>/dev/null \; -delete)
Jul  2 21:12:37 h311 systemd[1]: Reloading.

/var/log/syslog크기는 0바이트입니다. 이전 로그는 해당 아카이브에 있습니다.

제거하고 서비스를 다시 시작해 보았습니다. 0바이트 크기로 다시 생성됩니다.

해당 서버에 syslog-ng와 같은 것을 설치하려고 시도하고 잠시 가지고 놀다가 제거했습니다. 제가 설치한 패키지 중 일부가 구성을 변조했을 가능성이 있지만 확실하게 말씀드릴 수는 없습니다.

이 서버에는 여러 슈퍼유저가 있으므로 다른 것일 수도 있습니다.

로깅이 다시 제대로 작동하려면 무엇을 확인하고 시도해야 합니까?

답변1

의견에서 지적했듯이 시스템은 서비스 관리를 위해 systemd를 사용하고 있습니다. Systemd는 기존 SysVinit을 대체합니다. 또한 시스템 로그 수집기와 같은 다른 많은 기능과 함께 번들로 제공됩니다. 이 경우 로그에 액세스하려면 이 명령을 사용해야 합니다 journalctl.

$ journalctl

sshd로그 만 보고 싶다면 필터를 전달하면 됩니다.

$ journalctl -n 1 _COMM=sshd
-- Logs begin at Wed 2014-10-22 19:29:29 EDT, end at Fri 2014-10-24 09:05:09 EDT. --
Oct 24 09:05:09 gadget sshd[5800]: pam_unix(sshd:session): session closed for user phemmer

출력 형식을 다음으로 변경하여 사용 가능한 필터 필드를 볼 수 있습니다 verbose.

$ journalctl -n 1 -o verbose
Fri 2014-10-24 09:05:09.533633 EDT [s=30566909a26443ffb7185d318ccc4cd6;i=3d5d;b=19dd64e325fd4577a78af1a73f005b6c;m=1e82168a3c;t=5062ad4a511bc;x=1fae374af8a7dbc3]
    PRIORITY=6
    _UID=0
    _GID=0
    _BOOT_ID=19dd64e325fd4577a78af1a73f005b6c
    _MACHINE_ID=5288dcb47f9fed3ab946f54754305a4f
    _HOSTNAME=gadget
    _CAP_EFFECTIVE=1fffffffff
    _TRANSPORT=syslog
    SYSLOG_FACILITY=10
    SYSLOG_IDENTIFIER=sshd
    _COMM=sshd
    _EXE=/usr/sbin/sshd
    _SYSTEMD_OWNER_UID=1000
    _SYSTEMD_SLICE=user-1000.slice
    _PID=5800
    _CMDLINE=sshd: phemmer [priv]   
    _SYSTEMD_CGROUP=/user.slice/user-1000.slice/session-3.scope
    _SYSTEMD_SESSION=3
    _SYSTEMD_UNIT=session-3.scope
    MESSAGE=pam_unix(sshd:session): session closed for user phemmer
    _SOURCE_REALTIME_TIMESTAMP=1414155909533633

systemd 비활성화에 대한 귀하의 의견에 답변하십시오. 나는 이것을 권장하지 않습니다. 배포판이 systemd로 이동하고 있으며 시스템의 핵심 구성 요소를 제거하면 생활이 극도로 어려워질 수 있습니다.
로깅을 비활성화하고 기존 syslog 데몬을 큰 어려움 없이 사용하는 것도 가능하지만 사용하지 않기로 결정하기 전에 사용 방법을 익히는 것이 좋습니다. 관습을 가볍게 깨서는 안 됩니다.

관련 정보